Miesięcznik informatyków i menedżerów IT sektora publicznego

Marcin Rafalski, Jakub Słodki

Uwierzytelnianie w usługach publicznych

Potwierdzenie tożsamości użytkownika systemów informatycznych wykorzystywanych w administracji jest bardzo istotne ze względów bezpieczeństwa. Uwierzytelnienie i autoryzacja mogą być skutecznie realizowane za pomocą narzędzi open source.

Uwierzytelnienie z wykorzystaniem profilu zaufanego

Dzisiejsze organizacje wykorzystują w swojej działalności wiele systemów teleinformatycznych wspomagających realizowane zadania. Nie inaczej jest również w jednostkach sektora finansów publicznych. Zarówno w administracji rządowej, jak i samorządowej mamy do czynienia z dużą liczbą systemów teleinformatycznych służących pracownikom do realizacji zadań powierzonych tym jednostkom. Są to najczęściej rozwiązania wspierające procesy wewnętrzne, tj. zarządzanie dokumentacją, operacje finansowo-kadrowo-płacowe, zarządzanie treścią, ale niejednokrotnie także różnego rodzaju systemy wykorzystywane przez klientów administracji – służące do realizacji e-usług czy obowiązków sprawozdawczych wobec państwa.

Zapewnienie właściwego poziomu bezpieczeństwa organizacji wykorzystujących te systemy wiąże się z koniecznością posiadania i stosowania odpowiedniej polityki haseł. W konsekwencji użytkownik posiada wiele różnych – w zależności od systemów, z których korzysta – loginów oraz haseł dostępu do systemów teleinformatycznych. Tak jak w życiu prywatnym, powoduje to problemy w zapamiętaniu haseł i niejednokrotnie prowadzi do zapisywania ich w różnej formie i postaci, co może znacznie obniżać bezpieczeństwo całej organizacji. Brak jednego miejsca do zarządzania loginami i hasłami to też dodatkowy kłopot dla administratorów systemów teleinformatycznych, którzy muszą generować wiele loginów i haseł z różnych systemów, a następnie dokonywać ich modyfikacji i zmian.

Problem staje się szczególnie zauważalny w przypadku, gdy organizacja liczy kilkuset i więcej pracowników oraz kiedy w grę wchodzi administrowanie systemami dostępnymi dla klientów zewnętrznych, zwłaszcza jeśli organizacja posiada wiele (więcej niż jeden) takich systemów. Liczba potencjalnych użytkowników, biorąc pod uwagę konieczność zakładania oddzielnych kont dla użytkowników w każdym systemie, powoduje, że trzeba zarządzać nawet kilkunastoma tysiącami kont. Standardowe metody zarządzania kontami użytkowników w tej sytuacji niosą wiele ryzyk.

Pojedyncze logowanie

Kiedy organizacja posiada kilka systemów teleinformatycznych, z których korzystanie możliwe jest jedynie dla zalogowanego użytkownika, po stworzeniu konta i nadaniu hasła, w każdym z tych systemów (np. z wykorzystaniem profilu zaufanego lub podpisu kwalifikowanego) celowe jest, aby uprościć ten proces do pojedynczej czynności. Organizacja powinna rozważyć wdrożenie centralnego serwera uwierzytelniania wraz z mechanizmem pojedynczego logowania (ang. single sign-on – SSO), tak żeby jedno konto dawało dostęp do kilku zasobów.

Idea SSO jest stosunkowo prosta. Użytkownik posiada jeden login i jedno hasło do centralnego systemu logowania, po uwierzytelnieniu go i autoryzacji, w zależności od przydzielonych ról i uprawnień, użytkownik otrzymuje dostęp do wybranych zasobów gromadzonych w różnych systemach teleinformatycznych. Z punktu widzenia użytkowników SSO w sposób znaczący upraszcza korzystanie z systemów, może być zmartwieniem dla działu IT, któremu przyjdzie się zmierzyć z wdrażaniem takiego rozwiązania, gdyż liczyć się trzeba z pewnymi wyzwaniami.

Różnice między uwierzytelnieniem a autoryzacją

Dla omówienia problematyki jednokrotnego logowania duże znaczenie ma zrozumienie różnicy pomiędzy pojęciami uwierzytelnienie i autoryzacja. Uwierzytelnienie to proces polegający na weryfikacji tożsamości osoby, która próbuje uzyskać dostęp do zasobów. Autoryzacja natomiast to proces, w którym podmiotowi nadawane są uprawnienia do operacji, jakie może wykonywać na danych zasobach (np. modyfikacja, odczyt, zapis, usuwanie itp.).

W opisywanym rozwiązaniu ze względu na prawne aspekty działania administracji przyjęto, iż uwierzytelnić musi się osoba fizyczna. Autoryzacja natomiast następuje w zależności od tego, czy osoba ta działa jako osoba fizyczna, czy też chce w nim reprezentować podmiot. Uwzględniając kontekst, w jakim użytkownik występuje, systemy przydzielą mu odpowiednie uprawnienia.

Wybór serwera identyfikacji

Na rynku istnieje wiele rozwiązań umożliwiających wdrożenie mechanizmu pojedynczego logowania. Dostępne są zarówno rozmaite rozwiązania komercyjne, jak i open source. Ze względu na koszty oraz ogólne zalecenia dla administracji rekomendowane jest wykorzystanie rozwiązania bezpłatnego. Open source stanowi otwartą technologię możliwą do wdrożenia samodzielnie lub przez różne podmioty zewnętrzne. Brak zatem kosztów nabycia tego typu oprogramowania oraz kosztów związanych z jego licencjonowaniem czy wsparciem, a powszechny dostęp do aktualizacji oraz szerokie spektrum wymiany informacji czynią produkty otwarte atrakcyjnymi.

Podstawowymi wymaganiami, jakie powinno spełniać wybrane rozwiązanie, są możliwość implementacji mechanizmu single sign-on/sign-out (SSO/SL) oraz dostarczanie narzędzi do silnej autoryzacji, zarządzania kontami, obsługi tożsamości, zarządzania prawami dostępu, monitorowania, raportowania oraz audytu. W celu przeprowadzenia opisywanego poniżej wdrożenia użyte zostało oprogramowanie WSO2 Identity Server w wersji 5.7.0 (WSO2 IS), które spełnia opisane wymagania.

Instalacja i konfiguracja

WSO2 IS jako narzędzie open source ma dostępną pełną dokumentację. Instalacja i konfiguracja narzędzia powinny zostać wykonane zgodnie z tą dokumentacją w sposób poprzedzony określeniem potrzeb organizacji, w której wdrożenie jest prowadzone. System powinien być dostępny z sieci Internet, bez dostępu do konsoli zarządzania. Kluczowym elementem przy wdrożeniu serwera identyfikacji jest odpowiedź na pytanie, dla ilu użytkowników rozwiązanie to ma funkcjonować.

[...]

Marcin Rafalski – dyrektor Biura Dyrektora Generalnego Urzędu Komunikacji Elektronicznej.

Jakub Słodki – p.o. naczelnika Wydziału Elektronizacji Biura Dyrektora Generalnego Urzędu Komunikacji Elektronicznej.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej